A honlapok adatvédelmi beállításai és a sütik

Számos konzultációs beadvány érkezik a Nemzeti Adatvédelmi és Információszabadság

Hatósághoz (a továbbiakban: Hatóság) honlapok fejlesztésével, működtetésének adatvédelmi
kérdéseivel kapcsolatban kis- és középvállalkozásoktól.

I. Fontos leszögezni, hogy 2018. május 25. napjától közvetlenül alkalmazandó az általános
adatvédelmi rendelet1 (a továbbiakban: GDPR), így a KKV szektor honlapjainak legfontosabb
adatvédelmi követelményeit is szinte kivétel nélkül ebben, és nem az Infotv.2 rendelkezései között
kell keresnünk.3

A Hatóság elsősorban a honlapok, webshopok adatvédelmi kérdéseivel összefüggésben

rendelkezik feladat- és hatáskörrel, így az egyéb nemzeti jogi előírásokra, például a gazdasági
reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a
továbbiakban: Reklám tv.) és az elektronikus kereskedelmi szolgáltatások, valamint az információs
társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a
továbbiakban: Elkertv.) kapcsolódó rendelkezéseire – például a honlapon elhelyezendő nem
adatvédelmi tájékoztatók kötelező tartalmi elemeire –itt nem tér ki.
II. A Hatóság hangsúlyozza, hogy a GDPR hatálya alá csak a természetes személyek (például
munkavállalók, magánszemély ügyfelek) személyes adatainak4 kezelése tartozhat. Valakinek a
neve, telefonszáma, címe, e-mail címe, egyéb elérhetőségei személyes adatnak, ezek gyűjtése,
rögzítése, tárolása és felhasználása pedig adatkezelésnek5 minősül. Abban az esetben,
amennyiben egy tevékenysége kapcsán kizárólag jogi személyekre vonatkozó adatokat, vagy
statisztikai adatokat gyűjt, rendszerez, továbbít – összefoglalóan kezel – egy KKV (például a cég
neve, portfóliója, székhelye, vagy a cég bejegyzett hivatalos elektronikus elérhetősége) akkor e
tevékenysége során nem valósul meg a GDPR szerinti adatkezelés.

Azt, hogy az új szabályok kikre vonatkoznak, ha személyes adatokat kezelnek, a GDPR hatálya
határozza meg, amelyről az 1-3. cikkek rendelkeznek. E rendelkezések alapján látható, hogy
annak semmi jelentősége nincs, hogy valaki magánszemélyként, kis- vagy középvállalkozásként,
vagy egyéb vállalkozási formában működtet személyes adatokat is kezelő honlapot, ha a
tevékenysége a GDPR hatálya alá tartozik, akkor rá is alkalmazni kell annak előírásait. Tehát a
vegyesbolt, rajongói klub, az egyszemélyes gazdasági társaság, az egyéni vállalkozó vagy
őstermelő weboldalának is meg kell felelnie az adatvédelmi követelményeknek.

Ennek következtében, amennyiben a weboldal látogatóinak adatait, elérhetőségeit gyűjti, rögzíti,

tárolja, a KKV-nak is alkalmazni kell a GDPR előírásait az így megvalósuló adatkezelésre.6

1 A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad
áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet
2 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
3 Az Infotv. a GDPR hatálya alá tartozó adatkezelések kapcsán csak kiegészítő rendelkezéseket tartalmaz, az Infotv.-

ben szabályozott adatvédelmi alapelvek, jogalapok és érintetti jogokkal kapcsolatos előírások a bűnüldözési, honvédelmi
és nemzetbiztonsági célú adatkezelést folytató, erre felhatalmazott szervezetek számára alkalmazandóak.
4 GDPR 4. cikk 1. pont: „a személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó

bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely
azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai,
genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján
azonosítható.”
5 GDPR 4. cikk 2. pont: „az adatkezelés a személyes adatokon vagy adatállományokon automatizált vagy nem

automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás,
tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb
módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve
megsemmisítés.”
6 Ide nem értve a természetes személyek által végzett, üzleti tevékenységgel össze nem függő, gazdasági,

vagyonszerzési célt még közvetve sem szolgáló tevékenységeket.

……………………………………………………………………………………………………….

1055 Budapest Tel.: +36 1 391-1400 ugyfelszolgalat@naih.hu

Falk Miksa utca 9-11. Fax: +36 1 391-1410 www.naih.hu
 2

III. A GDPR előírásai alapján az adatkezelő feladata és felelőssége a jogszerű adatkezelés

kialakítása. Az adatkezelő az természetes vagy jogi személy (KKV), vagy bármely egyéb szerv,
amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt
meghatározza.7 Adatkezelő lehet így még akkor is egy KKV, ha ténylegesen nem fér hozzá egyes
személyes adatokhoz, vagy minden személyes adatokkal kapcsolatos feladatát kiszervezte más
vállalkozások, egyéb a szervezetén kívüli személyek (adatfeldolgozók) részére, de az ő döntésére
tekintettel, az ő érdekében gyűjtötték a személyes adatokat. Ha tehát a KKV úgy dönt, hogy
honlapot készít(tet), azt üzemeltet(tet), és azon személyes adatokat gyűjt(et) a látogatókról,
ügyfelekről, akkor adatkezelőnek minősül. Az adatkezelőt minden esetben meg kell jelölni a
honlapon elhelyezett adatkezelési tájékoztatóban, nem elfogadható az a gyakorlat, hogy a honlap
internetes címét ismétlik ott meg az adatkezelő jogi vagy természetes személy vagy egyéb
szervezet megnevezése helyett.

A honlap karbantartója, a gyűjtött személyes adatokhoz is hozzáférő fejlesztője, ha az adatkezelő

érdekében, nevében személyes adatokat kezel, akkor az adatkezelővel kötött megállapodása
alapján adatfeldolgozónak minősülhet. Fontos feltétel, hogy személyes adatokat tároljon,
feldolgozzon, vagy azokhoz lehetősége legyen hozzáférni. A technológiai védelemmel ellátott (pl.
jelszóval védett, titkosított) vagy álnevesített (pl. hashelt) adatok kezelése is személyes adatok
kezelésének minősül, tehát ha azokhoz ilyen formában hozzáfér, azokkal feladata van (pl. tárhely
szolgáltató), azzal kapcsolatban szolgáltatást nyújt (support), akkor adatfeldolgozóként figyelembe
kell vennie a GDPR rendelkezéseit. Az adatfeldolgozó jellemzően felel az általa kezelt adatok
biztonságáért (pl. biztonsági mentés, felhasználókezelés, fizikai hozzáférés szabályozása), további
feladatait, felelősségeit az adatkezelővel kötött, a GDPR 28. cikkében meghatározott tartalommal
írásbeli szerződés kell, hogy rendezze.
Az adatfeldolgozók az adatok címzettjeinek minősülnek a GDPR rendelkezései szerint, így azokat
az átláthatóság elvének megfelelően az adatkezelési tájékoztatóban ismertetni kell (kivéve, ha
azok mennyisége, egyéb jellemzői alapján csak a kategóriáik nevesítése lehetséges, például
szálláshely kereső, közvetítő oldalakon az összes szálláshely címzettként nevesítendő lenne).

IV. Sokakban felmerülhet a kérdés, hogy kezel-e egyáltalán személyes adatokat egy honlap,
webshop. Számos weboldalon láthatunk személyes adatkezelést például az alábbi célokkal
összefüggésben:
- a látogató eszközadatainak gyűjtése a működéshez szükséges sütik és statisztikai modulok
működése kapcsán;
- közösségi oldal beépülőmodulok (pl. Twitter, Facebook) adatkezelése az oldal kedvelése,
megoszthatósága, hozzászólások írása, vagy felhasználói fiók regisztrálása során
- hírlevél, levelező lista;
- regisztráció – felhasználói fiókok kezelése;
- álláspályázat, kapcsolat űrlap;
- előzetes tájékoztatás/ajánlat kérés, chatbox, call center;
- fórum vagy chat során az üzenetek tartalma, mellékletei;
- termék vagy szolgáltatás megrendelése;
- online fizetési szolgáltatás igénybevétele (jellemzően adattovábbítás harmadik fél részére);
- számla kiállítás (külső szolgáltató) és megőrzés;
- csomag kézbesítése, futárszolgálat igénybevétele (adatfeldolgozóként vagy
adatkezelőként a közöttük létrejövő megállapodás, az adatkezelés jellemzői alapján);
- adatbiztonsági intézkedések (naplózás, biztonsági mentés, teszt oldal);
- látogatottság mérés (hőtérkép), fiókhoz kapcsolódó marketing eszközök, stb.

A GDPR a hatálya alá tartozó adatkezelések vonatkozásában nem ír elő a korábbi szabályozáshoz
hasonló hatósági nyilvántartásba való bejelentési kötelezettséget, nyilvántartási szám igénylését
az adatkezelők, illetve az adatfeldolgozók számára, a Hatóság által vezetett nyilvántartás
megszűnt. A GDPR két esetben ír elő bejelentési kötelezettséget az illetékes Hatóság felé:
• az adatvédelmi tisztviselő kijelölésére kötelezett vagy az önként kijelölő adatkezelő vagy
adatfeldolgozó vonatkozásában az adatvédelmi tisztviselő elérhetősége, továbbá

7 GDPR 4. cikk 7. pont

 3

• az adatvédelmi incidensek
bejelentése tekintetében.8

A GDPR nyilvántartási szám igénylés helyett a 30. cikkében meghatározottak szerint az

adatkezelők, illetve adatfeldolgozók számára írja elő nyilvántartás vezetését a saját adatkezelési
tevékenységeikről, amelyet azonban sem bejelenteni, sem előzetesen arra jóváhagyást kérni a
Hatóságtól nem kell. Gyakori kérdés, hogy a GDPR 30. cikk szerinti adatkezelési nyilvántartásba
az egyes ügyfelek adatait kell-e rögzíteni. A Hatóság hangsúlyozza, hogy az adatkezelési
tevékenységekről kell nyilvántartást vezetni, tehát arról, hogy mely célok érdekében és milyen
jellemzők szerint kezel adatokat a vállalkozás, nem pedig az érintettek adatait kell abban
nyilvántartani.

V. A honlapok üzemeltetésével, fejlesztésével kapcsolatos adatvédelmi tárgyú iránymutatásokat a

GDPR egész Európai Unióban történő egységes alkalmazása érdekében elsősorban nem a
tagállami hatóságok, hanem az Európai Adatvédelmi Testület (a továbbiakban: EDPB) jogosult
kidolgozni, illetve a jogelődje által összeállított iránymutatásokat fenntartani.

Ilyen iránymutatás – vagy annak társadalmi konzultációra bocsátott tervezete – elérhető már az
átláthatósággal kapcsolatos követelményekről (beleértve az adatkezelési tájékoztatással
kapcsolatos elvárásokat is); az érintett hozzájárulásán alapuló adatkezelésekre vonatkozó
előírásokról; az online környezetben történő egyes szerződéskötésekhez kapcsolódóan
alkalmazható ún. szerződéses adatkezelési jogalap kapcsán; az adatkezelő és adatfeldolgozó
GDPR szerinti felfogásáról; a beépített és alapértelmezett adatvédelem elve, valamint a közösségi
oldalak használóit célzó adatkezelések kapcsán is.9

A Hatóság által 2017-ben összeállított, a honlapok adatkezeléséről szóló tájékoztató már csak
jogtörténeti érdekességként olvasandó, mivel az abban foglaltak a GDPR előtti előírásokat
mutatják be. Honlapokkal kapcsolatos adatkezelések kapcsán folytatott adatvédelmi hatósági
eljárás eredményeként született már viszont a GDPR utáni jogi környezetben is az adatbiztonsági
követelmények teljesülését, valamint honlapon bekövetkező adatvédelmi incidens kezelésével
kapcsolatos követelményeket vizsgáló határozat.10 Emellett a GDPR alkalmazására történő
felkészülés jegyében a Hatóság is állásfoglalást bocsátott ki a magánszemélyek által üzemeltetett
honlap adatvédelmi kérdései (NAIH-2018-3567-2-V) tárgyában,11 és a megfelelő nyelven történő
előzetes tájékoztatásról (NAIH-2018-3878-2-V).12

VI. Amennyiben tehát a fent leírtak alapján egy KKV a honlapja kapcsán adatkezelőnek minősül,
akkor ehhez jogszerű és tisztességes adatkezelési cél, valamint az adatkezelés jogszerűségét
alátámasztó jogalap meghatározása szükséges, amelyre a GDPR 6. cikk (1) bekezdése szerinti
jogalapokra hivatkozással kerülhet sor.

A GDPR 5. cikke tartalmazza azon fő alapelveket, amelyeket a személyes adatok kezelése során
figyelembe kell venni, és amelyeknek folyamatosan érvényesülniük kell az adatkezelés során.
Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, amellett képesnek kell
lennie e megfelelés igazolására („elszámoltathatóság”).13 Ez alapján az adatkezelő köteles úgy
dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható

8 GDPR 33. és 37. cikk

9 https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_hu
10 Különleges adatok kezelésére használt rendszer adatbiztonsági hiányosságai (https://naih.hu/files/NAIH-2020-952-

hatarozat.pdf); A DIGI Távközlési és Szolgáltató Kft-nél bekövetkezett adatvédelmi incidensben érintett adatbázisok
célhoz kötöttséggel, korlátozott tárolhatósággal és adatbiztonsággal kapcsolatos hiányosságai
(https://naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf) és Adatvédelmi incidenssel kapcsolatos bejelentési
kötelezettség elmulasztása (https://naih.hu/files/NAIH-2019-2668-hatarozat.pdf).
11
https://naih.hu/files/NAIH_2018_3567_V_20180713.pdf
12 https://naih.hu/files/NAIH-2018-3878-allasfoglalas.pdf
13 GDPR 5. cikk (2) bekezdés.
 4

legyen. Ilyen alapelv többek között az adattakarékosság14 és a korlátozott tárolhatóság elve15,

amelyek értelmében a kezelt személyes adatok megőrzésének időtartama sem lehet korlátlan,
a feltétlenül szükséges időtartamra kell szűkíteni azok megőrzését. A bizalmasság és integritás
alapelvének16 értelmében a személyes adatok tárolása kapcsán biztosítani kell, hogy jogosulatlan
harmadik személy azokhoz ne férhessen hozzá.
Az adatbiztonsági intézkedéseket a honlap üzemeltetőjének úgy kell kialakítania, hogy az arányos
legyen az érintettre nézve megjelenő kockázatokkal és a védelem megvalósításának költségeivel,
figyelembe véve a tudomány és technológia állását. A kockázatarányos adatbiztonsági
intézkedések alkalmazása különösen indokolt lehet különleges személyes adatok (pl.
egészségügyi adatok, szexuális élet, pártállás) és szenzitív adatok – a GDPR Preambulumának
(75) bekezdése alapján például pénzügyi adatok, személyazonosság-lopásra, vagy jó hírnév
sérelmére alkalmas adatok – kezelése kapcsán. A GDPR 32. cikk szerinti védelmi intézkedés lehet
a kapcsolódó eljárásrendek és adatvédelmi, adatbiztonsági szabályzatok mellett a kockázatokkal
arányosan az adatbázisok és a hálózati kommunikáció (pl. https, VPN) titkosítása, álnevesített
adattárolás kialakítása, adathordozók titkosítása, amely csökkentheti az adatkezeléssel járó
kockázatokat.

Az érintetteket tájékoztatni kell az őket érintő adatkezelési műveletekről a GDPR 13. cikke
vagy 14. cikke szerinti tartalommal összeállított adatkezelési tájékoztató útján.
E körben ki kell emelnünk, hogy a tájékoztatóban fontos az oldalon megvalósuló adatkezelési célok
tételes nevesítése, azokhoz jogalap meghatározása, nem elegendő a GDPR jogalapjainak
felsorolása, mivel ez határozza meg az érintett által gyakorolható jogokat az adatkezelés kapcsán.
Fontos gyakorlati feladat a címzettek meghatározása (honlap tárhely szolgáltatója, statisztikai süti
szolgáltatója, pl. Google Analytics, futár, könyvelő, online fizetés-, számlázás szolgáltató, support
szolgáltató). Gyakran elmarad emellett a megőrzési idők meghatározása, amelyet a fenti
adatkezelési célok mentén kell meghatározni (a számviteli bizonylat megőrzési ideje nem
feltétlenül lehet azonos más célból gyűjtött adatok megőrzési idejével).

Amennyiben bármely természetes személy a GDPR 15-21. cikk szerinti érintetti jogait kívánja
gyakorolni, így például a hozzáférési jogával kíván élni, úgy az adatkezelő első alkalommal köteles
annak díjmentesen eleget tenni a rendeletben meghatározott határidőn belül.17

A GDPR kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő az adatkezelők

számára. A 24. cikk (2) bekezdése alapján az adatkezelőnek akkor kell belső adatvédelmi
szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított
technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység
vonatkozásában arányos. Ennek a rendelkezésnek az értelmezését a (78) preambulumbekezdés
segíti. Ez alapján azt kell tehát az adatkezelőnek mérlegelnie, hogy a kezelt adatok mennyisége
és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl.
utasítás, folyamatleírás, biztonsági szabályzat) elkészítése.

VII. Egy weboldal használata során a látogatóktól begyűjtött információ és annak hírlevél
küldésre történő felhasználása a GDPR 4. cikk 2. pontja alapján adatkezelésnek minősül.

14 GDPR 5. cikk (1) bekezdés c) pont: „a személyes adatok az adatkezelés céljai szempontjából megfelelőek és
relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”)”.
15 GDPR 5. cikk (1) bekezdés e) pont: „a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek

azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes
adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a
89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy
statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt
megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);”
16 GDPR 5. cikk (1) bekezdés f) pont: „a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai

vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok
jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni
védelmet is ideértve („integritás és bizalmas jelleg”)”.
17 GDPR 12. cikk (3)-(5) bekezdései.
 5

A GDPR 6. cikk (1) bekezdés a) pontja alapján a személyes adatok kezelése elsősorban akkor és
annyiban jogszerű, amennyiben az érintett hozzájárulását adta személyes adatainak egy vagy több
konkrét célból történő kezeléséhez.

A hírlevélküldési célú adatkezeléshez adott hozzájárulással kapcsolatban általánosságban

érdemes megjegyezni, hogy a hozzájárulás úgy is megadható, hogy az érintett valamely internetes
honlap megtekintése során bejelöl egy erre vonatkozó négyzetet vagy az információs
társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai
beállításokat hajt végre.

Ebből kifolyólag az előre kipipált checkbox nem felel meg a hozzájárulás megadásával szemben
támasztott követelményeknek, tekintettel arra, hogy előfordulhat olyan eset, amikor az érintett az
adatai megadásakor nem veszi észre a már kipipált checkboxot, és így egy olyan nyilatkozatot
tesz, amelyet nem biztos, hogy meg akart tenni.

Ha az adatkezelés jogalapja az érintett hozzájárulása, abban az esetben a GDPR 17. cikk (1)
bekezdés b) pontja szerint az érintett jogosult arra, hogy az adatkezelő kérésére törölje a rá
vonatkozó személyes adatokat, amennyiben az adatkezelésnek nincs más jogalapja.

VIII. A sütik olyan kisméretű adatcsomagok, szöveges fájlok, amelyek egy adott honlapon vagy
alkalmazásban történt látogatás alkalmával kerülnek elhelyezésre a látogató böngészőjében vagy
az eszközén. A sütik lehetővé teszik, hogy az adott honlap a látogatót a következő látogatásakor
felismerje, és ez által biztonsági, kényelmi funkciókat biztosítson és javítsa a felhasználói élményt
az oldal böngészése közben. A sütiknek több típusát különböztetjük meg.

1. Elengedhetetlen munkamenet (session-id) sütik

Ezek nélkülözhetetlenek az adott weboldalon történő navigáláshoz, a weboldal
kulcsfontosságú funkcióinak működéséhez és a védett tartalmak eléréséhez. Ezek a sütik nem
gyűjtenek olyan információkat, melyeket marketing célból fel lehetne használni, vagy amelyek
emlékeznének arra, milyen más weboldalakon járt a látogató. A honlap bezárása után e sütik
automatikusan törlődnek és a munkamenet lezárásra kerül. Ha a látogató nem fogadja el
ezeket sütiket, akkor a honlap, illetve annak egyes részei nem, vagy hibásan jelenhetnek meg,
lehetetlenné téve a honlap használatát, űrlapok kitöltését. Ezek a sütik jogszerűen
alkalmazhatóak az érintett hozzájárulásának hiányában is a KKV-k jogos érdeke alapján.

2. Statisztikai célú sütik

Ezek a sütik a honlapok teljesítményéhez, fejlesztéséhez, a felhasználói élmény javításához
kapcsolódnak, és lehetővé teszik, hogy az adott honlap üzemeltetője azzal kapcsolatosan
gyűjtsön adatokat, hogy a felhasználók miként használják az adott honlapot. Az általuk gyűjtött
információk arra vonatkoznak, hogy a látogató az oldal mely részére kattintott, hány honlapot
vagy oldalt keresett fel, milyen hosszú volt az egyes munkamenetek megtekintési ideje, milyen
esetleges hibaüzenetek érkeztek, stb. A statisztikai célú sütik között is megkülönbözettünk
állandó és munkamenet sütiket, aszerint, hogy mennyi ideig tárolódnak azok a látogató
böngészőjében, illetve eszközén. A statisztikai célú sütik a felhasználó eszközein egy adott
honlap böngészése során kerülnek elhelyezésre, azokat a böngésző beállításoknál utólag
lehetséges törölni, és indokolt az érintett hozzájárulását kérni azok használatához.

3. Hirdetési célú sütik

Ezeknek a sütiknek a célja, hogy a honlapokon az adott látogató számára releváns hirdetések
jelenjenek meg. Ezek a sütik olyan információkat gyűjtenek, mint pl. a látogató melyik oldalt
nézte meg, a honlap mely részére kattintott, hány weboldalt keresett fel, a látogató
érdeklődésére számot tartó tartalmak megjelenítése érdekében. A hirdetési célú sütik
elhelyezéséhez főszabály szerint az érintett hozzájárulása szükséges.

4. Social media sütik

Ezeknek a sütiknek a célja a honlapokon használt közösségi média szolgáltatások biztosítása
a látogató számára, például amikor a látogató egy honlapról tartalmat oszt meg a Facebookon,
Twitteren, vagy egyéb közösségi média szolgáltatáshoz kapcsolódó felületen, vagy
 6

összekapcsolja a fiókját közösségi tartalmakkal, vagy amikor a közösségi média szolgáltató

által biztosított plug-in-eken (kiegészítő programok) keresztül a közösségi média szolgáltató
által tárolt tartalmak jelennek meg az oldalon. A közösségi média szolgáltatók a sütiken
keresztül adatokat gyűjthetnek arról, hogy a látogató hogyan használja a közösségi média
szolgáltató által biztosított szolgáltatásokat, milyen tartalmakat oszt meg, mindezt a látogató
érdeklődésére számot tartó tartalmak megjelenítése érdekében, így az érintett hozzájárulása
szükséges azok működtetéséhez.

5. Más, harmadik féltől származó külső sütik

A fentieken túlmenően az adott weboldal üzemeltetőjével szerződéses kapcsolatban nem álló
más szolgáltatások üzemeltetői is helyezhetnek el sütiket az adott weboldalon, annak
üzemeltetőjétől teljesen függetlenül, saját működésük érdekében. Az ilyen sütik alatt tehát
olyan sütiket kell érteni, amelyek a felhasználó által meglátogatott weboldalnak a böngésző
címsorában megjelenő tartománytól (domain) eltérő tartományhoz tartoznak, függetlenül
annak bármiféle mérlegelésétől, hogy ez a szervezet önálló adatkezelő-e vagy sem.

A weboldalak adatkezelését és a közvetlen üzletszerzést érintő szabályokat a jelenleg tagállami

jogi előírások mellett a jövőben az egyeztetés alatt lévő új, elektronikus hírközlési adatvédelmi
rendelet (ePrivacy Rendelet) fogja tartalmazni.

Ezen túlmenően az Európai Bíróság a C-673/17. sz. ügyben hozott ítéletében - Bundesverband
der Verbraucherzentralen und Verbraucherverbände V ̶ erbraucherzentrale Bundesverband eV
kontra Planet49 GmbH – kimondta, hogy a sütik telepítése az internethasználók aktív
hozzájárulását igényli, egy előre bejelölt négyzet tehát nem elegendő.18

A sütik működéséhez megadott „engedély” a GDPR fogalomhasználatára lefordítva hozzájárulás,

amely a GDPR 6. cikkében szereplő ún. jogalapok között szerepel. Az adatkezelés
jogszerűségének egyik legfontosabb feltétele, hogy az adatkezelésnek megfelelő jogalapja legyen,
azaz érvényesüljön egy feltétel a 6. cikk (1) bekezdésében felsoroltak közül.

A lehetséges jogalapok egyike – a 6. cikk (1) bekezdés a) pontja szerint – az érintett hozzájárulása:
ez azt jelenti, hogy jogszerű lehet az adatkezelés, ha az érintett ahhoz hozzájárul, azaz „engedélyt
ad”.

Ahhoz, hogy a hozzájárulás az adatkezelés jogalapja lehessen, érvényesülnie kell minden

feltételnek, amelyet a GDPR előír a hozzájárulás érvényességéhez. A legfontosabb feltételek a
következők: egyértelműség, önkéntesség, visszavonhatóság, megfelelő tájékoztatás megléte.
Ha az adatkezelő úgy dönt, hogy az érintettek hozzájárulását jelöli meg jogalapként, akkor
biztosítania kell az érintettek részére, hogy egyesével eldönthessék, hogy az adott típusú süti
működéséhez hozzájárulnak-e vagy sem. Ez – az önkéntesség kritériumából következően –
kizárólag az olyan tevékenység esetén lehetséges, ahol az érintett eldöntheti, hogy kívánja-e az
adott adatkezelést (az adott süti működtetését) vagy sem, így az olyan sütik esetén lehetséges,
ahol az oldalt akkor is bármilyen korlátozás nélkül tudja böngészni, ha az adott süti telepítéséhez
nem járul hozzá.

Az olyan sütik, amelyek telepítése nélkül az adott oldal nem képes működni, a hozzájárulás
egyértelműen nem képezheti az adatkezelés jogalapját, hiszen e sütik alkalmazása mindenképpen
szükséges, nem döntheti el az érintett, hogy kívánja-e ezeket alkalmazni vagy sem. Tekintettel
arra, hogy a jogszerű adatkezelés alapfeltétele a 6. cikk (1) bekezdés valamely esetének
fennállása, így ilyenkor az adatkezelő köteles megjelölni egy – a hozzájárulástól eltérő – egyéb
jogalapot. Megfelelő jogalap lehet ilyen esetekre a GDPR 6. cikk (1) bekezdés e) vagy f) pontja,
vagyis, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy ha az adatkezelő az
érdekek megfelelő mérlegelését elvégzi, és igazolni tudja, hogy jogos érdeke (az oldal
működéséhez sütik elhelyezése szükséges) elsőbbséget élvez az érintettek jogaival szemben.

18 Az ügyben ítélet elérhető a http://curia.europa.eu/juris/liste.jsf?num=C-673/17 linken